BLOG: Ze mogen alles van me weten, behalve mijn pincode?
Trouw publiceerde twee alarmerende artikelen over een nieuwe Europese richtlijn, waarmee bedrijven inzage zouden krijgen in uw betaalgegevens. Dat klinkt heel erg zorgwekkend, en het is gelukkig dan ook niet waar. Ik was als woordvoerder betrokken bij het opstellen van deze richtlijn, en ook bij het opstellen van de Europese privacywetten.
Het werkelijke verhaal is als volgt: in het internettijdperk komen er steeds meer nieuwe, handige digitale betaaldiensten en andere financiële diensten op de markt. Bijvoorbeeld elektronische huishoudboekjes, betalen met je telefoontje, 1-click betalingen op een webshop, of apps om treinkaartjes of tickets voor een concert te kopen. Deze nieuwe diensten werken op basis van toegang tot jouw bankrekening. Bij elke verrichting log je dus als het ware in in je eigen bankrekening. Op jouw eigen verzoek, en met jouw eigen instemming.
Bijvoorbeeld: in een elektronisch huishoudboekje kan je je financiën heel overzichtelijk bijhouden. Daarvoor heb je wel de gegevens nodig van je bankrekening(en), spaarrekening, kredietkaart, enzovoort. Nu is het natuurlijk mogelijk die handmatig te kopiëren van die rekeningen naar je elektronisch huishoudboekje, maar de meeste mensen vinden het wel zo handig om gewoon in te kunnen loggen in hun bankrekening, en de gegevens langs die weg in te voeren in hun huishoudboekje. Die gegevens zijn tenslotte jouw eigen gegevens, niet het eigendom van de bank.
Maar de banken hebben hier weinig trek in. De meeste van deze nieuwe diensten worden aangeboden door nieuwe spelers op de markt, vaak (aanvankelijk) jonge, innovatieve start ups. De banken zien die nieuwe concurrentie natuurlijk met lede ogen aan. Sinds een paar jaar is er dan ook een fikse strijd gaande, waarbij de banken met allerlei smoezen het onmogelijk proberen te maken voor die nieuwe aanbieders, om die verbinding met jouw bankrekening mogelijk te maken. Bovendien zijn banken bezig om heel snel dezelfde diensten in-house te ontwikkelen en zelf aan te bieden. Door het andere aanbieders moeilijk te maken om hun klanten te laten "inloggen" op de bankrekening, worden de diensten aangeboden door de bank zelf bevoordeeld.
Sommige van die nieuwe aanbieders bedachten dan manieren om toch in te loggen, via een omweg, maar dat is niet veilig en niet legaal.
Om te zorgen dat de nieuwe ontwikkelingen niet worden belemmerd, maar ook om te zorgen dat consumenten goed worden beschermd tegen financiële risico's en privacy risico's, is de EU wet op betaaldiensten uit 2007 gemoderniseerd.
Die wet ("richtlijn") verplicht de banken om het voor andere aanbieders mogelijk te maken hun klanten toegang te laten krijgen tot hun eigen bankrekening. Daarbij gelden wel de hoogste normen van gegevensbeveiliging en privacybescherming, terwijl het gebruikersgemak niet beperkt moet worden. Bijvoorbeeld: hoe zorgen we dat je met een 1-click betaling iets kan kopen, zonder dat je niet elke keer opnieuw al je gegevens hoeft in te geven, maar dan wel op een veilige manier.
Op dit moment worden de zogeheten "technische normen" bepaald, waaraan het mechanisme voor zo'n "login" moet voldoen. Natuurlijk proberen de banken de mogelijkheden zo veel mogelijk te beperken, terwijl de andere aanbieders het juist zo makkelijk mogelijk willen krijgen. Komend voorjaar moet het Europees Parlement instemmen met die technische normen. De commerciële belangen bij die normen zijn dus gigantisch. Daarbij staat voor het Europees Parlement de consument voorop: een ruime keuze aan handige èn veilige diensten.
Tot slot: niet alleen de Richtlijn voor de betaaldiensten, maar ook de Europese Privacywetten zijn van toepassing. Het is bedrijven verboden persoonsgegevens te gebruiken voor andere zaken dan waarvoor jij toestemming hebt gegeven. Als bedrijven dat toch doen, kan de Autoriteit Persoonsgegevens torenhoge boetes uitdelen.
Informatiepagina van de Europese Commissie (in het Engels)
Artikelen Trouw:
Derden mogen straks meekijken in je bankrekening
Wie krijgt er straks inzage in je bankgegevens? Zes vragen
